ifun.de — Apple News seit 2001. 31 279 Artikel

"Bug Bounty Programm" in der Kritik

Sicherheitsforscher kritisieren Apples Umgang mit gemeldeten Sicherheitslücken

16 Kommentare 16

Die Washington Post lässt Apple in einem Bericht über den Umgang mit gemeldeten Sicherheitslücken schlecht dastehen. Die Vorwürfe wiegen schwer, so behebe Apple gemeldete Fehler nicht nur langsam, sondern zahle den Sicherheitsforschern auch nicht immer das, was ihnen ihrer Meinung nach zusteht. Untermauert werden die Anschuldigungen durch Aussagen von Betroffenen und mit der Angelegenheit vertrauten Personen.

Nach einem zögerlichen Start vor fünf Jahren hat Apple im Jahr 2019 angekündigt, für entdeckte und gemeldete Sicherheitslücken bis zu einer Million Dollar auszuzahlen. In der Branche kennt man dergleichen unter der Bezeichnung Bug-Bounty-Programm. Üppige Prämien sollen Sicherheitsforscher und Hacker dazu verleiten, ihr Wissen über Schwachstellen mit dem Hersteller zu teilen, anstelle die Sicherheitslücken auf dem Schwarzmarkt anzubieten.

Staffel Bug Bounty

Apples Bug-Bounty-Prämien (Bild: Lorenzo Franceschi-Bicchierai)

Apple sah sich lange Zeit in der Kritik, hier zu wenig Anreize zu schaffen und in der Folge die eigenen Kunden zu gefährden. Auf dem Schwarzmarkt angebotene Schwachstellen bilden häufig die Grundlage für Malware oder werden gar für Spionage-Tools verwendet.

Die Washington Post hat nun mehr als zwei Dutzend Sicherheitsforscher zum Thema befragt. In den Interviews kommt Apple nicht zuletzt auch aufgrund seiner Geheimhaltungspolitik verglichen mit der Konkurrenz schlecht weg. Während Firmen wie Facebook, Microsoft oder Google aktiv über ihre Anstrengungen und Angebote in diesem Bereich informieren und nicht nur lobenswerte Worte für die partizipierenden Sicherheitsforscher finden, sondern auch konkret über die ausgezahlten Prämien informieren, herrscht bei Apple Funkstille.

Doch Apple sieht sich darüber hinaus mit ernst zu nehmenden Vorwürfen konfrontiert. So sei das Unternehmen mit Blick auf die Behebung von Sicherheitslücken massiv im Rückstand. Dies bestätigen Apple-Mitarbeiter ebenso wie die Fehler meldende Sicherheitsforscher. Selbst akute und gefährliche Schwachstellen würden teils über Monate hinweg nicht korrigiert. Ein Sicherheitsforscher wurde sogar aus Apples Entwicklerprogramm geworfen, nachdem er weil Apple einen von ihm gemeldeten Fehler über Monate hinweg nicht korrigiert hat, Informationen dazu veröffentlicht hatte.

Wp Zhang

Nimmt man dann noch zur Kenntnis, dass etliche der Entdecker solcher Schwachstellen von Apple gar keine oder nur deutlich unter den in Aussicht gestellten Summen liegende Belohnungen erhalten, verwundert es nicht, dass sich einige der Experten nach anderen Einnahmequellen umsehen. Auf dem Schwarzmarkt wechseln solche Informationen für ein Vielfaches mehr den Besitzer.

Apple kann – zumindest wenn man das Statement des Herstellers gegenüber der Washington Post betrachtet – die Kritik nicht ansatzweise nachvollziehen. Ivan Krstić, der Leiter von Apples Abteilung für „Security Engineering and Architecture“,sieht das Bug Bounty Programm als vollen Erfolg. Apple habe den Betrag, der in diesem Jahr gezahlt wurde, im Vergleich zum Vorjahr fast verdoppelt und sei branchenweit führend, was den durchschnittlichen Betrag pro Bounty angeht.

10. Sep 2021 um 06:48 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    16 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    16 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 31279 Artikel in den vergangenen 7280 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven